【WriteUp】Cap

今回は、CapというマシンのWriteUpを書きます。

ActiveMachineで初めて攻略できたマシンです。

 

# ポートスキャン

$ nmap -sS -sV 10.10.10.245でスキャン

f:id:syachineko:20210902234929p:plain

21, 22, 80ポートがopen。

 

webブラウザで接続すると、以下のようなページが表示された。

f:id:syachineko:20210902235133p:plain

 

Nathanさんのサイトらしい。

左のほうにはメニューがいくつかある。

f:id:syachineko:20210902235209p:plain

 

この中でSecurity Snapshotをクリックすると、以下のページに飛ぶ。

f:id:syachineko:20210902235303p:plain

 

もう一度同じページに遷移すると、アドレス上の数値がインクリメントされている。

f:id:syachineko:20210902235423p:plain

 

1始まりだったので、0を指定してみると、過去のデータ?が取れた。

f:id:syachineko:20210902235531p:plain

 

下側のDownloadを押下すると、pcapデータをダウンロードできた。

f:id:syachineko:20210902235623p:plain

 

以下コマンドで、pcapデータを表示させた。

$ tshark -r 0.pcap

f:id:syachineko:20210902235832p:plain

 

よく見ると、ftpの通信記録が残っており、平文でパスワードが見えている。

このクレデンシャル情報をもとにftp接続を試したところ、接続に成功した。

f:id:syachineko:20210903000041p:plain

 

また、試しに同じ情報を使ってsshを試したところ、接続できた。

f:id:syachineko:20210903000218p:plain

 

この直下に、user.txtを発見した。

f:id:syachineko:20210903000314p:plain

 

権限昇格を行うため、こちらよりLinEnum.shをダウンロードし、アップロードした。

GitHub - rebootuser/LinEnum: Scripted Local Linux Enumeration & Privilege Escalation Checks

 

f:id:syachineko:20210903001752p:plain


サーバ側からwgetで取得する。

f:id:syachineko:20210903001826p:plain

 

LinEnum.shを起動し、結果を確認した。

このうち、マシン名にもなっているcapabilitiesについて確認した。

f:id:syachineko:20210903002039p:plain

 

GTFOBinsでpythonを確認すると、capabilitiesでの権限昇格ができるようだった。

参考:GTFOBins

f:id:syachineko:20210903002203p:plain

 

下記のコマンドで、root権限を奪取できた。

$ ./python -c 'import os; os.setuid(0); os.system("/bin/sh")'

f:id:syachineko:20210903002428p:plain



以上。